ALBeast Bug Menjejaskan 15,000 Apl Menggunakan Ciri Pengesahan AWS ALB

Pepijat konfigurasi kritikal diperhatikan yang menjejaskan aplikasi yang menggunakan AWS Application Load Balancer (ALB) untuk pengesahan, kecacatan yang digelar "ALBeast" yang boleh membawa kepada akses tanpa kebenaran kepada sumber perniagaan, pelanggaran data dan exfiltration data.

Pepijat konfigurasi kritikal telah ditemui dalam AWS Application Load Balancer (ALB) yang boleh membawa kepada akses tanpa kebenaran kepada sumber perniagaan, pelanggaran data dan penyusutan data.

Kecacatan, yang digelar "ALBeast," telah dikenal pasti oleh Miggo Research dan menjejaskan aplikasi yang menggunakan ALB untuk pengesahan. Menurut pasukan penyelidik, lebih 15,000 apl yang berpotensi terdedah telah ditemui menggunakan ciri pengesahan AWS ALB.

Pengimbang beban AWS mengedarkan trafik aplikasi masuk merentas berbilang sasaran, seperti contoh perkhidmatan web AWS EC2. Cacat ALBeast boleh menyebabkan pengesahan dan pintasan kebenaran dalam aplikasi yang terdedah kepada internet yang bergantung pada pengesahan ALB.

"AWS ALB mempunyai ciri pengesahan yang dikeluarkan pada 2018 dan termasuk beberapa ciri serta dokumentasi untuk pelanggan tentang cara melaksanakannya dengan selamat," jelas Liad Eliyahu, ketua penyelidikan di Miggo. "Bagaimanapun, kami mendapati bahawa dokumentasi itu kehilangan dua bahagian penting, menyebabkan aplikasi terdedah."

Menurut Eliyahu, elemen pertama yang hilang ialah pengesahan yang mana ALB sebenarnya telah menandatangani token tersebut. Pasukan Miggo mengimbas banyak pelaksanaan projek sumber terbuka serta panduan pengesahan ALB yang ditulis oleh komuniti, dan hanya satu daripada berdozen yang menyebut pengesahan ini. “Pasukan kemudian menganggap bahawa hampir semua pengaturcara tidak memasukkan pengesahan ini dalam kod mereka.”

Kedua, Miggo mendapati salah konfigurasi dalam kumpulan keselamatan yang didakwa AWS untuk mengenal pasti dan memberitahu pelanggan. Menurut Eliyahu, banyak sumber menunjukkan bahawa ini adalah salah satu salah konfigurasi AWS yang paling biasa.

"Kami mencadangkan agar AWS melakukan perubahan dalam pelaksanaan ALB yang boleh mengurangkan kebanyakan isu ALBeast di pihak mereka," kata Eliyahu. "Mereka memilih untuk tidak mengubah pelaksanaannya, tetapi untuk menghubungi pelanggan dan memaklumkan mereka tentang dua tindakan ini yang harus mereka ambil."

Siaran blog oleh AWS yang dikeluarkan enam hari lalu termasuk amalan terbaik keselamatan ini:

"Isu konfigurasi dengan AWS ALB timbul bukan daripada kecacatan pada ALB itu sendiri tetapi daripada cara ia dikonfigurasikan oleh pengguna," tambah Jason Soroko, naib presiden kanan produk di Sectigo. Menurut Soroko, isu itu melibatkan persediaan pengesahan yang tidak betul, di mana apl gagal mengesahkan penandatangan token atau tersilap menerima trafik daripada sumber selain ALB mereka, sekali gus membenarkan akses tanpa kebenaran kepada sumber dan penyusutan data.

“Pasukan keselamatan harus memastikan bahawa apl mereka mengesahkan token dengan betul dan mengehadkan trafik kepada sumber yang dipercayai sahaja, terutamanya ALB mereka," kata Soroko. "AWS sentiasa menambah baik dokumentasi mengenai perkara ini untuk membantu orang yang bertanggungjawab untuk konfigurasi memahami risiko, tetapi ia akan menjadi berhemat juga untuk melihat alat diagnostik yang tersedia daripada Amazon AWS serta alat pihak ketiga untuk membantu menangkap jenis kesilapan konfigurasi ini."

Atas ialah kandungan terperinci ALBeast Bug Menjejaskan 15,000 Apl Menggunakan Ciri Pengesahan AWS ALB. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!